Google kod bilan bog‘liq bo‘lgan barcha bog‘liqliklar zanjirini hisobga olgan holda kod va ilovalarda tuzatilmagan zaifliklarni tekshirish uchun OSV-Scanner asboblar to‘plamini taqdim etdi. OSV-Scanner sizga bog'liqlik sifatida foydalaniladigan kutubxonalardan biridagi muammolar tufayli ilova zaif bo'lib qoladigan vaziyatlarni aniqlash imkonini beradi. Bunday holda, zaif kutubxona bilvosita ishlatilishi mumkin, ya'ni. boshqa qaramlik orqali chaqirilishi mumkin. Loyiha kodi Go-da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
OSV-Scanner avtomatik ravishda katalog daraxtini rekursiv skanerlashi mumkin, loyiha va ilovalarni git kataloglari mavjudligi (zaifliklar haqidagi ma'lumotlar majburiy xeshlarni tahlil qilish orqali aniqlanadi), SBOM fayllari (SPDX va CycloneDX formatlarida dasturiy ta'minot to'plami), manifestlar yoki Yarn, NPM, GEM, PIP va Cargo kabi paket menejerlarini blokirovka qilish. Shuningdek, u Debian omborlari paketlaridan tuzilgan Docker konteyner tasvirlari tarkibini skanerlashni qo'llab-quvvatlaydi.
Zaifliklar haqidagi ma'lumotlar Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI dagi xavfsizlik muammolari haqidagi ma'lumotlarni qamrab oluvchi OSV (Ochiq kodli zaifliklar) ma'lumotlar bazasidan olingan. ( Python), RubyGems, Android, Debian va Alpine, shuningdek, Linux yadrosidagi zaifliklar haqidagi ma'lumotlar va GitHub'da joylashtirilgan loyihalardagi zaifliklar hisobotlari ma'lumotlari. OSV ma'lumotlar bazasi muammoni hal qilish holatini aks ettiradi, zaiflikning paydo bo'lishi va tuzatilishi bilan majburiyatlarni, zaiflikdan ta'sirlangan versiyalar oralig'ini, kod bilan loyiha omboriga havolalarni va muammo haqida bildirishnomani ko'rsatadi. Taqdim etilgan API sizga majburiyatlar va teglar darajasida zaifliklarning namoyon bo'lishini kuzatish va hosilaviy mahsulotlar va muammoga bog'liqliklarning sezgirligini tahlil qilish imkonini beradi.
Manba: opennet.ru